客服QQ:872490018

BEC 智能合约无限转币漏洞分析及预警

据 OKEx 公告称,4 月 22 日 13 时左右,BEC 出现异常交易。

BEC 智能合约无限转币漏洞分析及预警-碳链

OKEx 公告

慢雾安全团队第一时间分析发现,BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞,攻击者可传入很大的 value 数值,使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。

BEC 智能合约无限转币漏洞分析及预警-碳链

batchTransfer 函数

这样攻击者的账户不会转出任何 BEC,但是接收方却可以收到大量 BEC。

BEC 智能合约无限转币漏洞分析及预警-碳链

交易详情

BEC 智能合约无限转币漏洞分析及预警-碳链

接收方1

BEC 智能合约无限转币漏洞分析及预警-碳链

接收方2

通过此次漏洞分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额 amount 是否大于 0,以及在 for 循环内执行 balances[msg.sender].sub(value) 操作。

这类漏洞属于不可逆的破坏型漏洞,建议其他智能合约发布方及时自查。


关于慢雾科技

BEC 智能合约无限转币漏洞分析及预警-碳链

厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实践的团队创建。团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、防御部署、地下黑客风向标追踪。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/column/585.html
发表评论
坐等沙发
相关文章
「陀螺深度评级」:WICC | 评级:B | 风险:中
「陀螺深度评级」:WICC | 评级:B | 风…
海豚扒问币快报创始人刀哥
海豚扒问币快报创始人刀哥
区块链直播PalChain,视频社交的新可能
区块链直播PalChain,视频社交的新可能
CROS创始人曹灵波:区块链的核心价值在于重塑商业价值体系
CROS创始人曹灵波:区块链的核心价值在…
哈希派 | 区块链课堂前60问大汇总
哈希派 | 区块链课堂前60问大汇总
相比出来谈区块链,我更想去你大爷!
相比出来谈区块链,我更想去你大爷!
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    96

  • 评论

    0

广告赞助

复制代码